Le Botnet GRUM, responsable de 18% de l'émission mondiale de spam, a été démantelé la semaine dernière. La société de sécurité FireEye et le service SpamHaus, de concert avec les fournisseurs d'accès internet régionaux, sont parvenus à mettre hors-ligne les serveurs de ce botnet, vraisemblablement le troisième plus important au monde.
Qu'est-ce qu'un botnet?
Un botnet est un réseau d'ordinateurs qui ont été corrompus lors d'une opération usuelle sur internet : la lecture d'un courriel en réalité menaçant, la visite d'un site piraté, le téléchargement d'un programme de façade… L'ordinateur est infecté sans que son propriétaire en ait conscience, et une partie de sa bande passante est détournée pour réaliser des opérations commandées par les personnes qui contrôlent ce réseau d'ordinateurs corrompus. Les cybercriminels, qui oeuvrent à étendre leur réseau d'ordinateurs zombifiés, travaillent pour le compte du crime organisé ou du terrorisme international qui utilisent les botnets pour diffuser des campagnes de spam, d'arnaques et de phishing (source de financement directe) ou pour s'attaquer aux serveurs d'états ou de sociétés, notamment par des opérations de déni de service.
Un botnet peut avoir une capacité d'émission de spam de plusieurs milliards par jour, via des millions d'ordinateurs infectés. Il est compliqué d'estimer le nombre d'ordinateurs corrompus affiliés à l'un des botnet en exercice: certains experts avancent la prudente estimation de 10% de machines infectées sur le parc mondial d'ordinateurs.
Un Botnet peut-être utilisé notamment pour émettre du spam servant à corrompre de nouvelles machines et à escroquer les internautes au travers des arnaques et des campagnes de hameçonage (phishing). Une récente étude menée par Symantec établit les bénéfices générés par les activités cybercriminelles à 388 milliards de dollars, soit un peu moins que le montant agrégé généré par le traffic de drogue dans le monde (411 milliards de dollars).
Seule la collecte d'informations et la concertation d'acteurs clefs peut permettre la démantèlement d'un botnet. Dans le cas de GRUM, un temps le troisième plus gros réseau d'ordinateurs corrompus, il a fallu mettre hors ligne tous les serveurs par lesquels transitaient les commandes aux ordinateurs infectés simultanément dans différents pays (Panama, Ukraine, Russie…). Mais les machines infectées qui constituent GRUM demeurent corrompues et à la merci d'une possible réactivation du botnet. La protection collective contre les botnets implique une prise de conscience individuelle des risques de nature cybercriminelle : les opérateurs de réseau peuvent aider les internautes à identifier la corruption d'un terminal et à proposer une solution de désinfection.
Le signalement des entêtes techniques à Signal Spam sont susceptibles de contenir des informations essentielles à lutte contre les botnets.
Pour connaitre le détail de l'opération, vous pouvez suivre ce lien: http://blog.fireeye.com/research/2012/07/grum-botnet-no-longer-safe-havens.html
